קאָנטראָל 5.19 קאַנסערנז זיך מיט אַן אָרגאַניזאַציע ס פליכט צו ענשור אַז, ווען ניצן סאַפּלייער-זייַט פּראָדוקטן און באַדינונגס (אַרייַנגערעכנט וואָלקן סערוויס פּראַוויידערז), גענוג באַטראַכטונג צו די מדרגה פון ריזיקירן טאָכיק אין ניצן פונדרויסנדיק סיסטעמען, און די קאָנסעקווענשאַל פּראַל וואָס קען האָבן אויף זייער אייגענע אינפֿאָרמאַציע זיכערהייט אַדכיראַנס.
קסנומקס איז אַ פאַרהיטנדיק קאָנטראָל אַז מאָדיפיעס ריזיקירן דורך מיינטיינינג פּראָוסידזשערז וואָס אַדרעס טאָכיק זיכערהייט ריסקס פֿאַרבונדן מיט די נוצן פון פּראָדוקטן און סערוויסעס צוגעשטעלט דורך דריט פּאַרטיעס.
כאָטש קאָנטראָל 5.20 דילז מיט אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער אַגרימאַנץ, קאָנטראָל 5.19 איז וויידלי זארגן מיט די אַדכיראַנס בעשאַס די שייכות.
| קאָנטראָל טיפּע | אינפֿאָרמאַציע זיכערהייט פּראָפּערטיעס | סייבערסעקוריטי קאַנסעפּס | אַפּעריישאַנאַל קייפּאַבילאַטיז | זיכערהייַט דאָומיינז |
|---|---|---|---|---|
| # פּרעווענטאַטיוו | # קאַנפאַדענשיאַלאַטי # אָרנטלעכקייַט # אַוואַילאַביליטי | # אידענטיפיצירן | # סאַפּלייער רעלאַטיאָנשיפּס זיכערהייט | #גאַווערנאַנס און יקאָוסיסטאַם # שוץ |
מיר אנגעהויבן ניצן ספּרעדשיץ און עס איז געווען אַ נייטמער. מיט די ISMS.online לייזונג, אַלע די שווער אַרבעט איז געווען גרינג.
בשעת קאָנטראָל 5.19 כּולל אַ פּלאַץ פון גיידאַנס פֿאַר די נוצן פון יקט באַדינונגס, די ברייטערער פאַרנעם פון די קאָנטראָל ינקלודז פילע אנדערע אַספּעקץ פון אַן אָרגאַניזאַציע ס שייכות מיט זיין סאַפּלייער באַזע, אַרייַנגערעכנט סאַפּלייער טייפּס, לאַדזשיסטיקס, יוטילאַטיז, פינאַנציעל באַדינונגס און ינפראַסטראַקטשער קאַמפּאָונאַנץ).
ווי אַזאַ, אָונערשיפּ פון קאָנטראָל 5.19 זאָל זיין רעסטיד מיט אַ מיטגליד פון עלטער פאַרוואַלטונג וואָס אָוווערסיז די געשעפט אָפּעראַציע פון אַן אָרגאַניזאַציע און האלט אַ דירעקט שייכות מיט די סאַפּלייערז פון אַן אָרגאַניזאַציע, אַזאַ ווי אַ אָרגאַניזאַציע. הויפּט אָפּערייטינג אָפיסער.
העסקעם מיט קאָנטראָל 5.19 ינוואַלווז אַדכירינג צו וואָס איז באַוווסט ווי אַ 'טעמע-ספּעציפיש' צוגאַנג צו אינפֿאָרמאַציע זיכערהייט אין סאַפּלייער באַציונגען.
טעמע-ספּעציפיש אַפּראָוטשיז מוטיקן אָרגאַנאַזיישאַנז צו שאַפֿן סאַפּלייער-פֿאַרבונדענע פּאַלאַסיז וואָס זענען טיילערד צו יחיד געשעפט פאַנגקשאַנז, אלא ווי אַדכירינג צו אַ פאַרדעקן סאַפּלייער פאַרוואַלטונג פּאָליטיק וואָס אַפּלייז צו קיין און אַלע דריט-פּאַרטיי באציונגען אַריבער אַן אָרגאַניזאַציע ס געשעפט אָפּעראַציע.
עס איז וויכטיק צו טאָן אַז קאָנטראָל 5.19 בעט די אָרגאַניזאַציע צו ינסטרומענט פּאַלאַסיז און פּראָוסידזשערז וואָס ניט בלויז רעגירן די אָרגאַניזאַציע 'ס נוצן פון סאַפּלייער רעסורסן און וואָלקן פּלאַטפאָרמס, אָבער אויך פאָרעם די יקער פון ווי זיי דערוואַרטן זייער סאַפּלייערז צו פירן זיך איידער און איבער די טערמין פון די געשעפט שייכות.
ווי אַזאַ, קאָנטראָל 5.19 קענען זיין וויוד ווי די יקערדיק קוואַלאַפייינג דאָקומענט וואָס דיקטייץ ווי אינפֿאָרמאַציע זיכערהייט גאַווערנאַנס איז כאַנדאַלד בעשאַס אַ סאַפּלייער קאָנטראַקט.
קאָנטראָל 5.19 כּולל 14 הויפּט גיידאַנס פונקטן צו זיין אַדכירד צו:
1) האַלטן אַן פּינטלעך רעקאָרד פון סאַפּלייער טייפּס (למשל פינאַנציעל באַדינונגס, יקט ייַזנוואַרג, טעלעפאָן) וואָס האָבן די פּאָטענציעל צו ווירקן אינפֿאָרמאַציע זיכערהייט אָרנטלעכקייַט.
העסקעם - פּלאַן אַ רשימה פון אַלע סאַפּלייערז מיט וואָס דיין אָרגאַניזאַציע אַרבעט, קאַטאַגערייז זיי לויט זייער געשעפט פונקציע און לייגן קאַטעגאָריעס צו די סאַפּלייער טייפּס ווי און ווען פארלאנגט.
2) פֿאַרשטיין ווי צו וועטערינאַר סאַפּלייערז, באזירט אויף די מדרגה פון ריזיקירן טאָכיק פֿאַר זייער סאַפּלייער טיפּ.
העסקעם - פאַרשידענע טייפּס פון סאַפּלייער וועט דאַרפן פאַרשידענע רעכט דיליץ טשעקס. באַטראַכטן ניצן וואַטינג מעטהאָדס אויף אַ סאַפּלייער-ביי-סאַפּלייער יקער (למשל ינדאַסטרי באַווייַזן, פינאַנציעל סטייטמאַנץ, אַסעסמאַנץ אויף פּלאַץ, סעקטאָר-ספּעציפיש סערטאַפאַקיישאַנז אַזאַ ווי מיקראָסאָפט פּאַרטנערשיפּס).
3) ידענטיפיצירן סאַפּלייערז וואָס האָבן פאַר - יגזיסטינג אינפֿאָרמאַציע זיכערהייט קאָנטראָלס.
העסקעם - בעטן צו זען קאפיעס פון סאַפּלייערז 'באַטייַטיק אינפֿאָרמאַציע זיכערהייט גאַווערנאַנס פּראָוסידזשערז, אין סדר צו אָפּשאַצן די ריזיקירן פֿאַר דיין אייגענע אָרגאַניזאַציע. אויב זיי טאָן ניט האָבן קיין, דאָס איז נישט אַ גוט צייכן.
4) ידענטיפיצירן און דעפינירן די ספּעציפיש געביטן פון דיין יקט ינפראַסטראַקטשער פון דיין אָרגאַניזאַציע וואָס דיין סאַפּלייערז קענען אַקסעס, מאָניטאָר אָדער נוצן זיך.
העסקעם - עס איז וויכטיק צו פעסטשטעלן פון די אָנהייב פּונקט ווי דיין סאַפּלייערז וועלן ינטעראַקט מיט דיין יקט אַסעץ - זיין פיזיש אָדער ווירטואַל - און וואָס לעוועלס פון אַקסעס זיי זענען געגעבן אין לויט מיט זייער קאַנטראַקטשואַל אַבלאַגיישאַנז.
5) דעפינירן ווי די סאַפּלייערז 'אייגן יקט ינפראַסטראַקטשער קענען פּראַל אויף דיין אייגענע דאַטן און די פון דיין קאַסטאַמערז.
העסקעם - דער ערשטער פליכט פון אַן אָרגאַניזאַציע איז צו זיין אייגענע גאַנג פון אינפֿאָרמאַציע זיכערהייט סטאַנדאַרדס. סאַפּלייער יקט אַסעץ דאַרפֿן צו זיין ריוויוד אין לויט מיט זייער פּאָטענציעל צו ווירקן ופּטימע און אָרנטלעכקייַט איבער דיין אָרגאַניזאַציע.
6) ידענטיפיצירן און פירן די פאַרשידן אינפֿאָרמאַציע זיכערהייט ריסקס צוגעבונדן צו:
a. סאַפּלייער נוצן פון קאַנפאַדענשאַל אינפֿאָרמאַציע אָדער פּראָטעקטעד אַסעץ (למשל לימיטעד צו בייזע נוצן און / אָדער פאַרברעכער קאַוואָנע).
b. פאָלטי סאַפּלייער ייַזנוואַרג אָדער מאַלפאַנגקשאַנינג ווייכווארג פּלאַטפאָרמע פֿאַרבונדן מיט אויף-האַנאָכע אָדער וואָלקן באזירט באַדינונגס.
העסקעם - אָרגאַנאַזיישאַנז דאַרפֿן צו שטענדיק זיין מיינדפאַל פון די אינפֿאָרמאַציע זיכערהייט ריסקס פֿאַרבונדן מיט קאַטאַסטראָפיק געשעענישן, אַזאַ ווי נעפעריש סאַפּלייער-זייַט באַניצער טעטיקייט אָדער הויפּט אַנפאָרסין ווייכווארג ינסאַדאַנץ, און זייער פּראַל אויף אָרגאַנאַזיישאַנאַל אינפֿאָרמאַציע זיכערהייט.
מיר געבן איר אַ 81% כעדסטאַרט
פון דעם מאָמענט איר קלאָץ אין
ספר דיין דעמאָ
מיר זענען פּרייַז-עפעקטיוו און שנעל
7) מאָניטאָר אינפֿאָרמאַציע זיכערהייט העסקעם אויף אַ טעמע ספּעציפיש אָדער סאַפּלייער טיפּ יקער.
העסקעם - די נויט פון די אָרגאַניזאַציע צו אָפּשאַצן די ימפּלאַקיישאַנז פון אינפֿאָרמאַציע זיכערהייט אין יעדער טיפּ פון סאַפּלייער, און סטרויערן זייער מאָניטאָרינג אַקטיוויטעטן צו אַקאַמאַדייט וועריינג לעוועלס פון ריזיקירן.
8) באַגרענעצן די סומע פון שעדיקן און / אָדער דיסראַפּשאַן געפֿירט דורך ניט-העסקעם.
העסקעם - סאַפּלייער אַקטיוויטעטן זאָל זיין מאָניטאָרעד אין אַ צונעמען שטייגער און אין וועריינג גראַדעס אין לויט מיט זיין ריזיקירן מדרגה. ווען ניט-העסקעם איז דיסקאַווערד, אָדער פּראָואַקטיוולי אָדער ריאַקטיוולי, גלייך קאַמף זאָל זיין גענומען.
9) טייַנען אַ שטאַרק אינצידענט פאַרוואַלטונג פּראָצעדור וואָס אַדרעסז אַ גלייַך סומע פון קאַנטינדזשאַנסיז.
העסקעם - אָרגאַנאַזיישאַנז זאָל פֿאַרשטיין פּונקט ווי צו רעאַגירן ווען זיי זענען פייסט מיט אַ ברייט קייט פון געשעענישן רילייטינג צו די צושטעלן פון דריט-פּאַרטיי פּראָדוקטן און באַדינונגס, און ויסשליסן רימידיאַל אַקשאַנז וואָס אַרייַננעמען ביידע די סאַפּלייער און די אָרגאַניזאַציע.
קסנומקס) אָנפירן מיטלען וואָס באַזאָרגן צו די אַוויילאַבילאַטי און פּראַסעסינג פון די סאַפּלייער ס אינפֿאָרמאַציע, ווו נאָר עס איז געניצט, און דערמיט ינשורינג די אָרנטלעכקייַט פון די אָרגאַניזאַציע 'ס אייגענע אינפֿאָרמאַציע.
העסקעם - סטעפּס זאָל זיין גענומען צו ענשור אַז סאַפּלייער סיסטעמען און דאַטן זענען כאַנדאַלד אויף אַ וועג וואָס קען נישט קאָמפּראָמיס אויף די אַוויילאַבילאַטי און זיכערהייט פון די אייגענע סיסטעמען און אינפֿאָרמאַציע פון דער אָרגאַניזאַציע.
קסנומקס) פּלאַן אַ גרונטיק טריינינג פּלאַן וואָס אָפפערס גיידאַנס וועגן ווי שטעקן זאָל ינטעראַקט מיט סאַפּלייער פּערסאַנעל און אינפֿאָרמאַציע אויף אַ סאַפּלייער-ביי-סאַפּלייער יקער, אָדער אויף אַ טיפּ-ביי-טיפּ יקער.
העסקעם - טראַינינג זאָל דעקן די פול ספּעקטרום פון גאַווערנאַנס צווישן אַן אָרגאַניזאַציע און זייַן סאַפּלייערז, אַרייַנגערעכנט באַשטעלונג, גראַניאַלער ריזיקירן פאַרוואַלטונג קאָנטראָלס און טעמע-ספּעציפיש פּראָוסידזשערז.
קסנומקס) פֿאַרשטיין און פירן די מדרגה פון ריזיקירן טאָכיק ווען טראַנספערינג אינפֿאָרמאַציע און גשמיות און ווירטואַל אַסעץ צווישן די אָרגאַניזאַציע און זייער סאַפּלייערז.
העסקעם - אָרגאַנאַזיישאַנז זאָל ויסמעקן יעדער בינע פון די אַריבערפירן פּראָצעס און דערציען שטעקן וועגן די ריסקס פֿאַרבונדן מיט מאָווינג אַסעץ און אינפֿאָרמאַציע פון איין מקור צו אנדערן.
קסנומקס) פאַרזיכערן אַז סאַפּלייער באַציונגען זענען טערמאַנייטיד מיט אינפֿאָרמאַציע זיכערהייט אין זינען, אַרייַנגערעכנט רימוווינג אַקסעס רעכט און די פיייקייט צו אַקסעס אָרגאַנאַזיישאַנאַל אינפֿאָרמאַציע.
העסקעם - דיין יקט טימז זאָל האָבן אַ קלאָר פארשטאנד פון ווי צו אָפּרופן אַ סאַפּלייער ס אַקסעס צו אינפֿאָרמאַציע, אַרייַנגערעכנט:
קסנומקס) באַשרייַבן פּונקט ווי איר דערוואַרטן די סאַפּלייער צו פירן זיך וועגן גשמיות און ווירטועל זיכערהייט מיטלען.
העסקעם - אָרגאַנאַזיישאַנז זאָל שטעלן קלאָר עקספּעקטיישאַנז פון די אָנהייב פון קיין געשעפט שייכות, וואָס ספּעציפיצירן ווי סאַפּלייער-זייַט פּערסאַנעל זענען געריכט צו פירן זיך ווען ינטעראַקטינג מיט דיין שטעקן אָדער קיין באַטייַטיק אַסעץ.
ISO אנערקענט אַז עס איז ניט שטענדיק מעגלעך צו אָנטאָן אַ פול גאַנג פון פּאַלאַסיז אויף אַ סאַפּלייער וואָס טרעפן יעדער און יעדער פאָדערונג פון די אויבן רשימה ווי קאָנטראָל 5.19 בדעה, ספּעציעל ווען איר האַנדלען מיט שטרענג עפנטלעך סעקטאָר אָרגאַנאַזיישאַנז.
ווי געזאָגט, קאָנטראָל 5.19 קלאר דערקלערט אַז אָרגאַנאַזיישאַנז זאָל נוצן די אויבן גיידאַנס ווען פאָרמינג באַציונגען מיט סאַפּלייערז, און באַטראַכטן ניט-אַדהעראַנס אויף אַ פאַל-ביי-פאַל יקער.
ווען פול העסקעם איז ניט אַטשיוואַבאַל, קאָנטראָל 5.19 גיט אָרגאַנאַזיישאַנז אַ פּלאַץ דורך רעקאַמענדינג "קאָמפּענסאַטינג קאָנטראָלס" וואָס דערגרייכן טויגן לעוועלס פון ריזיקירן פאַרוואַלטונג באזירט אויף אַן אָרגאַניזאַציע ס יינציק צושטאנדן.
27002:2022-5.19 ריפּלייסיז 27002:2013-5.1.1 (אינפֿאָרמאַציע זיכערהייט פּאָליטיק פֿאַר סאַפּלייער באַציונגען).
27002: 2022-5.19 וויידלי אַדכירז צו די זעלבע אַנדערלייינג קאַנסעפּס קאַנטיינד אין די 2013 קאָנטראָל, אָבער כּולל עטלעכע נאָך גיידאַנס געביטן וואָס זענען אָדער איבערגעהיפּערט פֿון 27002: 2013-5.1.1, אָדער אין מינדסטער נישט באדעקט אין ווי פיל דעטאַל, כולל:
27002: 2022-5.19 איז אויך יקספּליסאַט אין דערקענט די העכסט וועריאַבאַל נאַטור פון סאַפּלייער באַציונגען (באזירט אויף טיפּ, סעקטאָר און ריזיקירן מדרגה), און גיט אָרגאַנאַזיישאַנז אַ זיכער גראַד פון ליוויי ווען קאַנסידערינג די מעגלעכקייט פון ניט-העסקעם פון קיין געגעבן גיידאַנס פונט, באזירט אויף די נאַטור פון די שייכות (זען 'סופּפּלעמענטאַרי גיידאַנס' אויבן).
ניצן ISMS.online איר קענען:
עס איז אַ פּשוט ענין פון קריייטינג אַ פריי פּראָצעס חשבון און נאָכגיין די סטעפּס מיר צושטעלן.
באַקומען אין קאָנטאַקט הייַנט צו בוך אַ דעמאָ.
עס העלפּס פאָר אונדזער נאַטור אין אַ positive וועג וואָס אַרבעט פֿאַר אונדז
& אונדזער קולטור.
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 5.7 | נייַ | סאַקאָנע סייכל |
| 5.23 | נייַ | אינפֿאָרמאַציע זיכערהייט פֿאַר נוצן פון וואָלקן באַדינונגס |
| 5.30 | נייַ | יקט גרייטקייַט פֿאַר געשעפט קאַנטיניויישאַן |
| 7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
| 8.9 | נייַ | קאָנפיגוראַטיאָן פאַרוואַלטונג |
| 8.10 | נייַ | אינפֿאָרמאַציע דילישאַן |
| 8.11 | נייַ | דאַטאַ מאַסקינג |
| 8.12 | נייַ | פאַרהיטונג פון דאַטן ליקאַדזש |
| 8.16 | נייַ | מאָניטאָרינג אַקטיוויטעטן |
| 8.23 | נייַ | וועב פֿילטרירונג |
| 8.28 | נייַ | זיכער קאָדירונג |
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 6.1 | 07.1.1 | זיפּונג |
| 6.2 | 07.1.2 | טערמינען און באדינגונגען פון באַשעפטיקונג |
| 6.3 | 07.2.2 | אינפֿאָרמאַציע זיכערהייט וויסיקייַט, בילדונג און טריינינג |
| 6.4 | 07.2.3 | דיסציפּלינאַרי פּראָצעס |
| 6.5 | 07.3.1 | ריספּאַנסאַבילאַטיז נאָך טערמאַניישאַן אָדער טוישן פון באַשעפטיקונג |
| 6.6 | 13.2.4 | קאַנפאַדענשיאַלאַטי אָדער ניט-אַנטפּלעקונג אַגרימאַנץ |
| 6.7 | 06.2.2 | ווייַט ארבעטן |
| 6.8 | קסנומקס, קסנומקס | אינפֿאָרמאַציע זיכערהייט געשעעניש ריפּאָרטינג |
| ISO/IEC 27002:2022 קאָנטראָל ידענטיפיער | יסאָ / יעק 27002: 2013 קאָנטראָל אידענטיפיצירן | קאָנטראָל נאָמען |
|---|---|---|
| 7.1 | 11.1.1 | גשמיות זיכערהייַט פּערימאַטערז |
| 7.2 | קסנומקס, קסנומקס | פיזיש פּאָזיציע |
| 7.3 | 11.1.3 | סיקיורינג אָפאַסיז, רומז און פאַסילאַטיז |
| 7.4 | נייַ | פיזיש זיכערהייט מאָניטאָרינג |
| 7.5 | 11.1.4 | פּראַטעקטינג קעגן גשמיות און ינווייראַנמענאַל טרעץ |
| 7.6 | 11.1.5 | ארבעטן אין זיכער געביטן |
| 7.7 | 11.2.9 | קלאָר שרייַבטיש און קלאָר פאַרשטעלן |
| 7.8 | 11.2.1 | עקוויפּמענט סיטינג און שוץ |
| 7.9 | 11.2.6 | זיכערהייט פון אַסעץ אַוועק-לאָקאַל |
| 7.10 | קסנומקס, קסנומקס, קסנומקס, קסנומקס | סטאָרידזש מידיאַ |
| 7.11 | 11.2.2 | שטיצן יוטילאַטיז |
| 7.12 | 11.2.3 | קאַבלע זיכערהייַט |
| 7.13 | 11.2.4 | ויסריכט וישאַלט |
| 7.14 | 11.2.7 | זיכער באַזייַטיקונג אָדער שייַעך-נוצן פון ויסריכט |
